[KANALRÖST – INFINIGATE] Myndigheter behöver bli bättre på att hantera sin informationssäkerhet, enligt en färsk kartläggning. Där har kanalen en viktig roll att fylla.
Det finns ett stort glapp mellan hur myndigheter förväntas sköta sin informationssäkerhet och hur de faktiskt gör det. Det visar en kartläggning som MSB (Myndigheten för samhällsskydd och beredskap) nyligen har genomfört.
En myndighet måste enligt MSB:s föreskrifter bland annat ha ett ledningssystem för informationssäkerheten, alltså struktur och processer som säkerställer att nivån är rätt och att eventuella incidenter hanteras på ett korrekt sätt.
Policy krävs
Det innebär också att myndigheterna behöver ha en informationssäkerhetspolicy, att det finns en person som leder och samordnar arbetet inom området och inte minst att de klassar sin information och genomför risk- och sårbarhetsanalyser.
Det är krav, sådant som myndigheter måste uppfylla. Men kartläggningen visar som sagt att långt ifrån alla gör det.
Exempelvis har bara 67 procent en modell för informationsklassning. Det innebär att minst en tredjedel inte vet vilken säkerhetsnivå som olika typer av myndighetens information bör hålla.
41 procent av de tillfrågade säger att det saknas ansvarig för genomförande av informationsklassning.
38 procent av de personer som leder och samordnar informationssäkerhetsarbetet hos myndigheterna uppges sakna tillräcklig kompetens, resurser eller mandat.
59 procent uppger att inte är bestämt när informationsklassning ska ske.
En ögonöppnare
Det är dystra siffror. Och en ögonöppnare för kanalen. Vi kan göra skillnad. Vi kan stötta myndigheter med lösningar och verktyg runt informationssäkerhet. Vi kan hjälpa dem att bättre leva upp till de krav som faktiskt ställs på dem.
Länk till MSB:s rapport ”En bild av myndigheternas informationssäkerhetsarbete 2014” (pdf)